ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

http://www.file-upload.net/download-1918827/log.....txt.html sry anders gehts net, es ist zuviel text

Kein Problem, über file-upload hab ich's sogar lieber
Ich schau's mir gleich an und melde mich dann nochmal.

Zitat:

c:\\users\\kaufhaus wachlter

Also, es ist nicht so, dass mir der Benutzername jetzt zum ersten Mal auffällt, aber mich würde es jetzt schon mal interessieren, ob das ein reiner Privatrechner ist oder irgendwo in einem Kaufhaus steht

1.) Deinstalliere bitte auch diese unnötige Ask-Toolbar. Die meisten Toolbars sind extrem unnötig/fragwürdig.



2.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code: Alles auswählenAufklappen

ATTFilter

c:\users\KAUFHA~1\AppData\Local\Temp\nnnmjkJD.dll
c:\programdata\46cf56e\WP46cf.exe
         

3.) Dann ist Scripting mit Combofix angesagt:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code: Alles auswählenAufklappen

ATTFilter

Dirlook::
c:\programdata\46cf56e
c:\programdata\{755AC846-7372-4AC8-8550-C52491DAA8BD}

Collect::
c:\users\KAUFHA~1\AppData\Local\Temp\nnnmjkJD.dll
c:\programdata\46cf56e\WP46cf.exe
c:\programdata\xml6C4C.tmp
c:\programdata\xml6A67.tmp
c:\programdata\xml67D7.tmp

Registry::
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"MSServer"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
[-HKEY_USERS\S-1-5-21-291032531-3730280222-877669173-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{E5AF24A2-6DC3-2B03-E755-3FCEEF06B4AB}]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{F4031985-317E-4223-BAF9-297BBF7F3639}"=-
"{D2633CA0-6624-46F9-AFE3-37ECA8D744F3}"=-
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

k ich mach das mal jetzt und nein ist ein privat rechner nur der typ da hat kaufhaus davor geschrieben und den nachnamen sogarfalsch -.- wie man das ändert ka^^

Combofix log
http://www.file-upload.net/download-1919719/log123.txt.html

User/XXX log
http://www.file-upload.net/download-1919723/User.txt.html

Programmdatalog
http://www.file-upload.net/download-1919720/Programmdata.txt.html

was ist jetzt los?!
hab das getan was gesagt wurde und nun kann ich kein programm mehr anklicken diese 2 tabs sind die inzigen wege noch ins Internet immer wenn ich auf was klicke kommt
C:\Users\XXXX\...\(program name)
Es wurde versucht, einen registrierungschlüssel einem unzuverlässigen vorgang zu unterziehen, der zum Löschen markiert wurde.
was jetzt?

ahh jetzt funkt wieder alles

Mach das gleich Spiel nochmal mit Combofix und dem CFScript bitte, nur diesmal dieses in die CFScript kopieren:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Collect::
c:\programdata\46cf56e\WPCDSys\vd952342.bd
c:\programdata\46cf56e\mozcrt19.dll
c:\programdata\46cf56e\sqlite3.dll
c:\windows\TEMP\TMP000000C98B60FBF861C6BEB2

Registry::
[HKEY_USERS\S-1-5-21-291032531-3730280222-877669173-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{E5AF24A2-6DC3-2B03-E755-3FCEEF06B4AB}*]
"bbibnfmlcgjemflammjidclhbfoghkihgpic"=-
"abibnfmlcgjemflammiiopgolbabnaidpb"=-

Rootkit::
c:\windows\TEMP\TMP000000C98B60FBF861C6BEB2
         

http://www.file-upload.net/download-1919848/log456.txt.html
so habs gemacht

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

registry keys to delete:
HKEY_USERS\S-1-5-21-291032531-3730280222-877669173-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{E5AF24A2-6DC3-2B03-E755-3FCEEF06B4AB}

folders to delete:
c:\programdata\46cf56e
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

gemacht
http://www.file-upload.net/download-1920481/avenger.txt.html

Lad Dir mal bitte diese Datei (nightcover.reg) auf den Desktop => http://www.file-upload.net/download-1920806/nightcover.reg.html

Wenn sie auf dem Desktop ist bitte doppelklicken und die Abfrage mit ja bestätigen.

Mach unmittelbar danach ein RSIT-Logfile und poste es.

http://www.file-upload.net/download-1920816/log.txt.html

Ok, da tauchen die nicht mehr auf. Nochmal Combofix als Bestätigung/Überprüfung (bitte die die alte combofix/cofi.exe auf dem Desktop löschen und neu herunterladen!!!)

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.